55
ToDesk 存在安全漏洞,可无密码远程控制设备,请谨慎使用
source link: https://www.v2ex.com/t/788413
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
这个情况是偶然间发现的,具体情况如下:
- 被控端 X 是 MacOS,安装了 ToDesk 官网最新版。
- 控制端 A 是 MacOS,安装了 ToDesk 官网最新版。(使用密码连接过被控端 X,后正常断开)
- 控制端 B 是 MacOS,安装了 ToDesk 官网最新版。(从未连接过被控端 X )
- 控制端 B-VM 是 Win10 虚拟机,运行在 B 上,安装了 ToDesk 官网最新版。(从未连接过被控端 X )
- 被控端 X 、控制端 A 、控制端 B 都不在一个网络。
- 控制端 B 无需密码即可连接,多次验证都可以。
- 控制端 B-VM 需要密码才能连接。
测试结果录屏
从现象来看连接密码似乎并没有作为端到端加密密钥的一部分(这种设计真的没问题么?),当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测,并没有深入分析,虽然从事的是信息安全方向,但术业有专攻嘛,就留给感兴趣的小伙伴了~
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK